03/07/2017

Atak niemal niewykrywalny: zwiększ umiejętności specjalistów IT w firmie

Biznes MŚP

Prawie każdego dnia mamy okazję się przekonać, że autorzy szkodliwych programów szlifują swoje umiejętności i ulepszają stosowane narzędzia, aby ukryć swoje działania. Jednym z przykładów był szkodliwy program, który nie pozostawiał po sobie żadnych śladów w postaci plików, rezydując wyłącznie w pamięci RAM.

Kilka miesięcy temu eksperci z Kaspersky Lab wpadli na trop cyberincydentu, który wykorzystywał legalny program do przeprowadzania testów penetracyjnych, o nazwie Meterpreter. Odkryli wówczas istnienie skryptów PowerShell oraz legalnych narzędzi zastosowanych w infrastrukturze bankowej ofiar, które były wykorzystywane do szkodliwych celów – na przykład pomagały autorom wyprowadzać dane z zaatakowanego serwera.  W zestawie narzędzi znajdował się również program Netsh — składnik systemu operacyjnego służący do zdalnej konfiguracji parametrów sieci. Wszystkie zasoby użyte w ataku zostały zmodyfikowane tak, aby nie generowały plików, zatem na dysku twardym nie było po nich śladu. Oszuści mieli jeden cel: zdobyć hasła administratora i dane związane z finansami.

Inżynierowie z Kaspersky lab zaczęli poszukiwać podobnej aktywności i zidentyfikowali ją przy pomocy Kaspersky Security Network w ponad 140 sieciach firmowych zlokalizowanych w Stanach Zjednoczonych, Francji, Ekwadorze, Kenii, Wielkiej Brytanii i Rosji.

Gdy w ataku używane są legalne narzędzia oraz program, który nie pozostawia żadnych plików, niezmiernie trudno jest go wykryć. Do wykrycia takiego zagrożenia konieczne jest przeprowadzenie ekspertyzy zewnętrznej, chyba że w firmie istnieje zespół wysoko wykwalifikowanych ekspertów.

Aby się chronić przed takimi zagrożeniami, eksperci ds. bezpieczeństwa w firmach powinni być na bieżąco z najnowszymi informacjami o cyberzagrożeniach, a także nieustannie podnosić swoje kwalifikacje w zakresie rozpoznawania i eliminowania słabych punktów w przedsiębiorstwie poprzez udział w szkoleniach. Warto również stosować specjalistyczne rozwiązania zabezpieczające, a w razie konieczności przeprowadzić audyt zewnętrzny i wprowadzić zalecone zmiany.